Le Data Protection Officer (DPO) : chef d’orchestre de la conformité
Relativement récent et peu connu, le métier de Data Protection Officer (DPO) est pourtant primordial pour les entreprises. Anciennement nommé Correspondant Informatique et Liberté (CIL), il a été façonné par la mise en place du Règlement Général sur la Protection des Données (RGPD). Explications avec Jérôme Avot, DPO chez Faurecia.
Signé en 2016 et mis en application le 25 mai 2018, le règlement européen baptisé RGPD oblige les entreprises qui sont régulièrement amenées à manipuler et stocker des données personnelles à nommer un DPO, alias Data Protection Officer. Qu’il soit salarié ou externe, il est en charge de la bonne gouvernance des données personnelles. Consulté avant tout traitement de données, il a un droit de regard sur la sécurité informatique et juridique de la structure qui l’emploie. Véritable chef d’orchestre de la conformité, il est donc un maillon essentiel pour le bon développement de l’entreprise.
Vous-même en charge de la protection des données chez Faurecia, comment définiriez-vous votre métier et votre rôle ?
Jérôme Avot : Le Data Protection Officer coordonne les différentes actions relatives au respect de la vie privée des salariés, clients, fournisseurs, candidats et utilisateurs des services de l’entreprise. Autrement dit, il garantit le respect des différents volets du RGPD, le règlement européen qui régit la protection des données. Son rôle est à la croisée du juridique et de l’IT et nécessite trois grandes catégories de compétences professionnelles.
-
Juridiques
Afin d’encadrer la sous-traitance. Légalement, l’entreprise est responsable des données qu’elle collecte et traite, même lorsqu’elle décide de faire appel à des sous-traitants. En tant que responsable de traitement, c’est au DPO de s’assurer que ces derniers respectent les normes du RGPD. Pour cela, il peut exiger des certifications.
-
Techniques et opérationnelles
- Pour gérer certaines notions clés comme le chiffrement, l’anonymisation, la sécurité ou la durée de rétention ou le chiffrement des données. Cette dernière est un des points fondamentaux du RGPD. Avant lui, les entreprises pouvaient garder indéfiniment des données personnelles, même lorsqu’elles n’en avaient plus l’utilité. Désormais le temps de conservation est défini dès la conception du projet, en fonction de l’objectif fixé. Le règlement ne précise pas de délais, c’est donc au DPO d’évaluer les bonnes périodes de rétention en fonction des besoins et des risques de fuite. Ses choix doivent être justifiés dans un document appelé le registre. Les entreprises y stockent toutes les informations sur les traitements de données qu’elles effectuent et les mesures de sécurisation mises en place.
-
Pédagogiques
- Pour sensibiliser et former les collaborateurs à la protection des données personnelles. Chez Faurecia, il n’y avait pas de DPO avant moi, c’était une création de poste. À mon arrivée, nous avons mis en place plusieurs programmes de formation à destination des collaborateurs concernés par ces sujets. Des séminaires dans nos centres R&D pour les équipes innovation, des conférences via Skype ou Teams pour les métiers sensibles comme les RH ou le service informatique, ou encore des MOOC pour l’ensemble de nos collaborateurs. Grâce à ces efforts, plusieurs milliers d’employés de Faurecia ont été sensibilisés aux compétences en matière de sécurisation et de respect des données personnelles.
- Lire aussi Conformité : les 6 mots à connaître pour briller auprès de la DSI
-
Quel impact a eu la mise en œuvre du RGPD au sein de Faurecia ?
Le RGPD a eu un impact très positif pour le groupe dans la mesure où il a éveillé les consciences sur les risques liés à l’utilisation des données personnelles.
Très concrètement, nous avons réalisé l’inventaire de l’ensemble de nos applications contenant ce type de données. Ce fut un travail titanesque mais primordial. Il nous a permis d’effectuer une analyse du risque des applications qui contiennent les informations les plus sensibles, pour pouvoir ensuite les mettre en conformité.
Avant la mise en œuvre du RGPD, les questions de sécurisation et de conservation des données étaient traitées mais de manière décentralisée. Par conséquent, les réponses n’étaient pas toujours homogènes, ce qui complexifiait et altérait la protection des données. Grâce à ce travail d’inventaire et d’analyse, nous avons pu prendre les bonnes décisions et instaurer de bonnes pratiques dans les équipes concernées. Le RGPD a donc permis de faire bouger les lignes pour une sécurisation accrue des données.
Nous avons finalisé l’inventaire en janvier 2018 après 8 mois. Il nous a ensuite fallu 6 mois pour mettre en conformité les 20 applications les plus critiques. Il s’agissait d’applications RH. Nous sommes sur le point de finaliser la mise en conformité de l’intégralité de notre parc applicatifs. Un millier sont d’ores et déjà traitées. Cela signifie que nous avons établi le mode de stockage des données et sa durée, que nous serions en mesure de justifier en cas de contrôle par la CNIL.
Lire aussi Le RGPD, une opportunité ? 4 arguments pour le prouver
Comment assurez-vous la pleine conformité de vos applications en interne ?
En parallèle à notre travail de mise en conformité, nous avons mis en place une gouvernance sur ces sujets. Elle est assez simple et repose sur trois postes en plus du DPO.
- Le Data Protection Coordinator. Présent dans chaque pays européen, il est chargé de collecter et traiter les évolutions des applications locales.
- Le Sponsor. Nous en avons désigné un pour chacune de nos 4 grandes activités : Faurecia Seating, Faurecia Interiors, Faurecia Clarion Electronics et Faurecia Clean Mobility. Chacun m’aide à faire remonter les projets business qui pourraient impliquer du traitement de données personnelles.
- L’Application owner. Il y en a un par application, dont la responsabilité est d’assurer sa conformité. C’est notamment pour cette tâche que le programme de formation professionnelle était important. Il fallait que les applications owners soient les plus autonomes possible dans la compréhension et la mise en application du règlement au niveau de leur périmètre. Au moment de la conception, nous mettons en œuvre des principes de privacy by design.
-
Juillet299h30Microsoft Security Virtual Training Day – Pro… À mesure que vos collaborateurs optent de plus en plus pour le télétravail, la protection des informations de votre organisation et la gestion des risques doivent être une priorité absolue. L’événement Microsoft Secur… Visionner En savoir plus
Avez-vous dû adopter de nouveaux outils spécifiques pour vous mettre en conformité avec le RGPD ?
Lorsque nous avons commencé à établir notre registre, nous utilisions Excel. Mais très vite cela s’est avéré compliqué d’utiliser un simple fichier partagé. Nous avons donc opté pour la mise en place d’une application spécifique, développée en interne. Elle nous permet de gérer le registre des traitements. À chaque application correspond une fiche, régie par un application owner responsable et un certain nombre de contributeurs. Son principal atout est que tout le monde peut contribuer aux fiches de manière traçable et sécurisée.
En complément, nous utilisons au quotidien OneDrive. Il nous permet de partager avec un certain nombre d’utilisateurs des documents, notamment techniques, qui nous viennent de nos prestataires. Nous utilisons également un autre outil extrêmement pratique : Microsoft Teams. Nous y stockons toute la documentation relative aux différents projets et aux aspects de mise en conformité de ces derniers. Il nous permet aussi d’échanger et de collaborer sur ces sujets relatifs à la protection des données tout en gardant une traçabilité et en contrôlant les accès. Et cela nous rend grandement service en cas de contrôle ou de nécessité de justifier nos choix.